Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Clause de non-responsabilité: Cet article a été généré par traduction automatique.

Gestion des utilisateurs et des lecteurs avec SCIM dans Okta

Prev Next

L’intégration SCIM avec Okta vous permet de gérer les utilisateurs, lecteurs et groupes de Document360 directement depuis Okta de manière automatisée et centralisée.

Lorsqu’un nouvel utilisateur est ajouté dans Okta, son compte Document360 est automatiquement provisionné. Toute mise à jour de son rôle ou de son appartenance au groupe est synchronisée en temps réel, et lorsqu’un utilisateur est désactivé ou supprimé dans Okta, cela se reflète dans Document360 sans intervention manuelle. Cela élimine le besoin de gestion de compte séparée dans Document360 et garantit que les données utilisateur restent exactes et à jour sur les deux plateformes.


Pourquoi gérer les utilisateurs et les lecteurs via SCIM

Gérer manuellement les utilisateurs sur plusieurs plateformes prend du temps et crée des risques. Sans SCIM, les administrateurs doivent penser à ajouter séparément de nouveaux employés à Document360 et révoquer manuellement l’accès lorsqu’un départ est parti. Des erreurs peuvent entraîner un accès non autorisé ou un retard d’intégration.

Avec SCIM activé entre Okta et Document360 :

  • Les nouveaux employés sont automatiquement provisionnés sur Document360 lorsqu’ils sont ajoutés dans Okta — aucune configuration séparée n’est nécessaire.
  • Les attributions de rôles sont cohérentes et contrôlées par une seule source de vérité dans votre IDP.
  • Lorsqu’un utilisateur est désactivé ou supprimé dans Okta, son accès à Document360 est automatiquement révoqué.
  • Les changements d’appartenance au groupe dans Okta sont reflétés en temps réel dans Document360.
  • L’accès au contenu reste gérable depuis Document360 même lorsque l’identité est contrôlée par Okta.

Avant que tu commences

Le provisionnement SCIM dans Document360 est configuré dans votre configuration SSO. Assurez-vous que les éléments suivants sont remplis avant de procéder :

  • Le SSO doit être entièrement configuré et fonctionner entre Okta et Document360. Configurez d’abord SSO en suivant l’un des guides ci-dessous.
  • Le provisionnement SCIM doit être activé dans Document360. Naviguez dans Paramètres () > Utilisateurs et permissions > Configuration SSO, ouvrez votre configuration SSO et confirmez que l’option Activer le provisionnement SCIM est activée.
 
   
     

SAML SSO avec Okta

   
   

Configurez SAML SSO et activez le provisionnement SCIM entre Okta et Document360.

   Configurez SAML avec Okta →  
 
   
     

OpenID Connect SSO avec Okta

   
   

Configurez OpenID Connect SSO et activez le provisionnement SCIM entre Okta et Document360.

   Configurez OpenID avec Okta →  

Assigner la correspondance des attributs utilisateur

SCIM utilise cet isTeamAccount attribut pour déterminer si une personne est provisionnée en tant qu’Utilisateur ou en tant que Lecteur dans Document360.

  • isTeamAccount = True → provisionné en tant qu’utilisateur
  • isTeamAccount = False ou laissés non définis → prévus en tant que lecteur

Pour ajouter cet attribut dans Okta :

  1. Dans la console d’administration Okta, déroulez la section Applications et sélectionnez Applications.
  2. Sélectionnez l’application que vous souhaitez configurer et allez à l’onglet Provisionnement .
  3. Faites défiler vers le bas jusqu’à Mappage d’attributs et cliquez sur Aller dans l’éditeur de profil.
  4. Dans la section Attributs , cliquez sur Ajouter un attribut et remplissez les détails comme indiqué ci-dessous.
Ajouter un attribut Valeur
Type de données Booléen
Nom d’affichage Compte de l’équipe
Nom de la variable isTeamAccount
Nom externe isTeamAccount
Espace de noms externe urn :ietf :params :scim :schemas :extension :document360:2.0 :User
Adding a boolean attribute named 'Team Account' in the Okta Profile Editor interface.
  1. Cliquez sur Enregistrer.

ASTUCE

Définissez toujours l’attribut isTeamAccount au niveau utilisateur, pas au niveau du groupe. Si elle est définie au niveau du groupe, les utilisateurs appartenant à plusieurs groupes avec des valeurs conflictuelles peuvent recevoir des rôles incorrects dans Document360. Le définir au niveau utilisateur garantit que chaque utilisateur dispose d’une valeur claire et cohérente.


Utilisez Expression Builder pour mapper les rôles

Au lieu de définir manuellement l’attribut isTeamAccount pour chaque utilisateur, vous pouvez utiliser le Constructeur d’Expressions d’Okta pour déterminer automatiquement si un utilisateur est provisionné comme Utilisateur ou Lecteur dans Document360, en fonction d’un attribut existant dans son profil Okta tel que le titre de poste, le département ou l’appartenance au groupe.

Comment cela fonctionne :

  • isTeamAccount = True → provisionné en tant qu’utilisateur
  • isTeamAccount = False → fourni en tant que lecteur

Une fois provisionné, les utilisateurs sont automatiquement ajoutés aux groupes d’utilisateurs ou groupes de lecteurs respectifs dans Document360.

Étapes à configurer :

  1. Dans la console d’administration Okta, allez dans Applications et sélectionnez votre application SCIM.
  2. Accédez à l’onglet Provisionnement et cliquez sur l’onglet Vers l’application dans Paramètres.
  3. Faites défiler jusqu’à Mappage d’attributs et cliquez sur l’icône Modifier à côté de l’attribut isTeamAccount .
Okta Admin Console displaying user attributes and mapping options for applications.
  1. Dans la boîte de dialogue, définissez le menu déroulant de la valeur de l’Attribut sur Expression.
  2. Entrez votre expression dans la boîte de texte fournie.
  3. Pour vérifier l’expression, saisissez le nom d’un utilisateur dans le champ Aperçu . Le résultat est instantanément évalué et affiché dans la barre verte sous la boîte de texte, indiquant si l’utilisateur sera provisionné en tant qu’Utilisateur (true) ou en tant que Lecteur (false).
  4. Dans Appliquer sur, sélectionnez Créer ou Créer et mettre à jour selon que vous souhaitez que l’expression soit appliquée uniquement lors de la création utilisateur ou lors des mises à jour.
  5. Cliquez sur Enregistrer.
Admin console showing SCIM settings with highlighted expression and options for user roles.

NOTE

Cliquez sur Référence du langage d’expression sous la boîte d’expression pour explorer toutes les fonctions, opérateurs et syntaxes disponibles pris en charge dans le langage d’expression d’Okta. Pour plus d’informations, consultez le guide d’aperçu du langage des expressions d’Okta.

Basé sur le titre du poste

Si vos utilisateurs ont un attribut Titre de poste dans leur profil Okta, vous pouvez attribuer des rôles en fonction de leur titre :

user.title == "Manager" || user.title == "Senior Manager" || user.title == "Team Lead" ? "True" : "False"

Les utilisateurs portant les titres Manager, Senior Manager ou Team Lead sont désignés comme Utilisateurs. Tous les autres titres sont fournis en tant que lecteurs.

NOTE

Le nom de la variable attribut (par exemple, user.title) doit correspondre exactement au nom de variable défini dans votre profil utilisateur Okta. Vous pouvez vérifier cela dans l’Éditeur de profil >annuaire.

Basé sur l’adhésion au groupe

Si vos utilisateurs sont organisés en groupes Okta, vous pouvez cartographier les rôles en fonction des groupes auxquels ils appartiennent :

isMemberOfGroupName("Managers") || isMemberOfGroupName("TeamLead") || isMemberOfGroupName("Directors") ? "True" : "False"

Les utilisateurs membres des groupes Managers, TeamLead ou Directeurs sont désignés comme Utilisateurs. Les utilisateurs qui n’appartiennent à aucun de ces groupes sont désignés comme Lecteurs.

NOTE

Vous pouvez combiner ou étendre l’une ou l’autre expression pour inclure des titres de poste supplémentaires ou des noms de groupes en fonction des besoins de votre organisation.


Disposition Okta à Document360

Pour lier la création, les modifications et la désactivation des utilisateurs dans Okta avec Document360 :

  1. Dans la barre de navigation de gauche, déplacez le menu déroulant Applications et cliquez sur Applications.
  2. Sélectionnez votre application SCIM et allez à l’onglet Provisionnement .
  3. Cliquez sur Modifier sous Provisionnement vers l’application et sélectionnez les cases suivantes :
    • Créer des utilisateurs
    • Mettre à jour les attributs utilisateur
    • Désactiver les utilisateurs
Okta Admin Console showing provisioning settings for user management and application integration.

Créez des utilisateurs, des lecteurs et des groupes

Créer un utilisateur

  1. Dans la console d’administration Okta, développez le menu déroulant du répertoire et sélectionnez Personnes.
  2. Cliquez sur Ajouter une personne, remplissez les informations utilisateur requises, puis cliquez sur Enregistrer. Une fois l’utilisateur provisionné, Document360 attribue automatiquement le rôle en fonction de la règle configurée dans le Constructeur d’Expressions.
Okta Admin Console displaying user directory with options to add or reset passwords.
  1. Sélectionnez l’utilisateur nouvellement créé et cliquez sur Assigner des applications pour les lier à une application.
  2. Choisissez l’application à laquelle vous souhaitez assigner l’utilisateur et cliquez sur Appliquer. L’utilisateur est créé avec succès.

Pour vérifier, allez sur Document360 et allez dans Paramètres () > Utilisateurs et permissions > Utilisateurs & groupes. L’utilisateur nouvellement créé doit apparaître dans la liste.

NOTE

Le nombre d’utilisateurs que vous pouvez ajouter à Document360 via Okta dépend de votre abonnement.

Tous les utilisateurs provisionnés via SCIM sont initialement comptabilisés sous le quota utilisateur. Si la limite d’utilisateurs est atteinte, SCIM ne peut pas fournir des utilisateurs supplémentaires, même si certains d’entre eux sont destinés à être des Évaluateurs.

Solution de contournement :

  1. Provisionnez les utilisateurs d’Okta via SCIM comme d’habitude. Ils se synchronisent avec Document360 avec le rôle par défaut comme Contributeur ou Admin.
  2. Une fois les utilisateurs synchronisés, changez manuellement le rôle des utilisateurs requis en Examinateur dans Document360.
  3. Une fois qu’un utilisateur est changé en Évaluateur, il est compté sous le quota de Critique au lieu du quota Utilisateur . Cela libère un emplacement Utilisateur.

Exemple : Si votre projet autorise 10 utilisateurs et 10 évaluateurs et que vous souhaitez ajouter d’autres utilisateurs via SCIM après avoir atteint la limite d’utilisateurs :

  1. Premièrement, provisionnez 10 utilisateurs via SCIM.
  2. Ensuite, changez les utilisateurs requis en Évaluateurs dans Document360.
  3. Ces utilisateurs passeront au quota de Critique, libérant ainsi des emplacements Utilisateur pour d’autres utilisateurs.

Créez un lecteur

  1. Dans la console d’administration Okta, développez le menu déroulant du répertoire et sélectionnez Personnes.
  2. Sur la page Personnes , cliquez sur Ajouter Personne, remplissez les informations requises pour le lecteur, puis cliquez sur Enregistrer. Cela confirme que le lecteur a été ajouté avec succès au Fournisseur d’Identité (Okta).
Okta Admin Console displaying user directory with options to add or reset passwords.

Une fois le lecteur provisionné, Document360 attribue automatiquement le rôle en fonction de la règle configurée dans le Constructeur d’Expressions.

  1. Pour intégrer le lecteur à Document360, sélectionnez le lecteur nouvellement créé et cliquez sur Assigner des applications.
  2. Dans la boîte de dialogue Assigner une application , sélectionnez le projet auquel vous souhaitez attribuer le lecteur, puis cliquez sur Assigner > Enregistrer et revenir > Terminé.
Assigning an application to a reader in Okta.
  1. Le lecteur nouvellement créé sera automatiquement synchronisé avec Document360. Pour vérifier, allez sur Document360 et allez dans Paramètres () > Utilisateurs et permissions > Lecteurs & groupes.
User management interface displaying reader accounts and their access statuses.

Le lecteur sera ajouté avec l’accès au contenu par défaut qui avait été appliqué lors de la configuration du SSO.

Créer un groupe

  1. Dans la console d’administration Okta, développez le menu déroulant du répertoire et sélectionnez Groupes.
  2. Cliquez sur Ajouter un groupe, saisissez le nom du groupe souhaité, puis cliquez sur Enregistrer.
Okta Admin Console displaying group management options and user statistics.

Assigner application au groupe

  1. Développez le menu déroulant Applications et sélectionnez Applications.
  2. Sélectionnez l’application souhaitée, allez à l’onglet Assignations , puis cliquez sur Assigner > Assigner aux groupes.
  3. Cliquez sur Assigner à côté du groupe créé, puis sur Enregistrer pour compléter le devoir.
Assigning a group to an application in Okta.

Groupes poussés

Contrairement aux utilisateurs, les groupes ne sont pas automatiquement synchronisés avec Document360 et doivent être poussés manuellement.

  1. Après avoir assigné le groupe à l’application, allez dans l’onglet Push Groups et cliquez sur Push Groups.
  2. Sélectionnez Trouver des groupes par nom et entrez le nom du groupe.
  3. Sélectionnez le groupe dans les résultats et cliquez sur Enregistrer pour réussir à pousser le groupe vers Document360.
Pushing a group to Document360 from Okta.
  1. Pour vérifier, rendez-vous dans Document360 > Paramètres () > Utilisateurs et permissions > Lecteurs & groupes > groupes de lecteurs.
User permissions management interface showing reader groups and access settings.

Le nouveau groupe de lecteurs créé devrait apparaître dans votre portail.

NOTE

Lorsque Okta pousse un groupe via SCIM, Document360 crée toujours un nouveau groupe au lieu de le lier à un groupe existant. Cela aide à prévenir les problèmes lorsque le même groupe est connecté à plusieurs fournisseurs SSO. Par exemple, si un fournisseur retire des utilisateurs du groupe, cela pourrait accidentellement affecter les utilisateurs gérés par un autre fournisseur. Créer des groupes séparés évite ce conflit. Pour cette raison, il faut toujours gérer les groupes SCIM et les membres depuis Okta, pas directement dans Document360.


Ajouter un utilisateur ou un lecteur à un groupe

  1. Dans la console d’administration Okta, développez le menu déroulant du répertoire et sélectionnez Personnes.
  2. Naviguez dans l’onglet Groups , cherchez le groupe auquel vous souhaitez ajouter l’utilisateur ou le lecteur dans le champ Groups , puis sélectionnez-le.
Okta Admin Console showing user details and group management options for Jane Doe.
  1. L’utilisateur ou lecteur sera ajouté avec succès au groupe sélectionné.
  2. Pour confirmer, allez dans Document360 et sélectionnez le groupe d’utilisateurs ou de lecteurs concerné. Le membre ajouté doit apparaître dans le groupe.
User permissions interface showing associated reader accounts and content access details.

NOTE

Si un groupe contient à la fois des utilisateurs et des lecteurs, il apparaîtra à la fois dans les groupes d’utilisateurs et les groupes de lecteurs dans Document360.


Gestion des utilisateurs, des lecteurs et des groupes dans Document360

Lorsque SCIM est activé, modifier le nom d’un utilisateur ou supprimer un utilisateur directement dans Document360 est désactivé. Ces actions doivent être gérées via Okta pour maintenir les deux plateformes synchronisées. Vous ne pouvez gérer l’accès au contenu que depuis Document360.

Overview of reader management settings and user details in Document360 interface.

Le badge SSO-SCIM indique si l’utilisateur a activé le SCIM.

Gérer l’accès au contenu

Le rôle de contenu par défaut attribué à tout nouvel utilisateur, lecteur ou groupe est basé sur ce qui a été configuré lors de la configuration du provisionnement SCIM. Les permissions seront définies à Aucun par défaut mais pourront être mises à jour à tout moment.

  1. Pour gérer l’accès au contenu, sélectionnez le lecteur désiré et cliquez sur Gérer l’accès au contenu.
  2. Choisissez le niveau d’accès souhaité dans le menu déroulant et cliquez sur Mettre à jour.
Managing content access in Document360.

Gestion des utilisateurs existants lors du provisionnement SCIM

Si une personne a déjà un compte dans Document360, SCIM ne changera pas son rôle existant lors de la première synchronisation. C’est une mesure de sécurité pour éviter des changements de rôle accidentels.

Exemple : Un utilisateur existe déjà dans Document360 en tant que lecteur. Si SCIM tente de provisionner le même utilisateur qu’un utilisateur (isTeamAccount = True), la requête peut échouer car le rôle existant ne correspond pas.

Comment résoudre les conflits de rôle :

  1. Ouvre Document360 et localise le compte utilisateur.
  2. Mettez manuellement à jour le rôle de l’utilisateur pour qu’il corresponde au rôle que vous souhaitez provisionner.
  3. Réessayez la synchronisation SCIM.

Une fois que l’utilisateur a été lié et provisionné avec succès via SCIM, les changements futurs de rôle peuvent être gérés à l’aide de cet isTeamAccount attribut.


Désactiver les utilisateurs et lecteurs

NOTE

Désactiver un utilisateur dans Okta ne supprime pas son profil de Document360. L’utilisateur sera marqué comme inactif et perdra la possibilité de se connecter à Okta et d’accéder à ses applications. Vous pouvez réactiver le compte à tout moment, mais l’utilisateur devra réinitialiser son mot de passe lors de la réactivation.

Pour désactiver les utilisateurs ou lecteurs d’Okta :

  1. Développez le menu déroulant du répertoire et sélectionnez Personnes.
  2. Sélectionnez l’utilisateur que vous souhaitez désactiver pour accéder à son profil utilisateur.
  3. Cliquez sur Plus d’actions et sélectionnez Désactiver.
Admin console showing user details and options to deactivate or manage applications.

L’utilisateur sera désactivé avec succès. Une fois désactivé, le statut de l’utilisateur dans Document360 passera d’Actif à Inactif.

List of readers with their statuses, highlighting one inactive account for review.

Supprimer un utilisateur ou un lecteur

Pour supprimer définitivement un profil utilisateur ou lecteur d’Okta :

  1. Dans Okta, cliquez sur Supprimer dans le profil utilisateur ou lecteur.
  2. Une boîte de dialogue de confirmation apparaîtra. Cliquez sur Supprimer.
Confirmation dialog for deleting user Mark Jacobs with warning message displayed.

Le profil sera définitivement supprimé d’Okta.

NOTE

Supprimer un profil dans Okta ne le retire pas de Document360. Le profil restera en statut Inactif .


Héritage d’une autre application

Lors de la création d’une nouvelle configuration SSO dans Document360, vous pouvez hériter des paramètres SCIM d’une connexion SSO existante. Cette approche simplifie le processus de configuration, évite la répétition des étapes de configuration et aide les administrateurs à gagner du temps tout en assurant la cohérence entre les intégrations.

Configuration SSO héritée par enfant

Sur la page Configurer le fournisseur d’identité (IdP ), sélectionnez le champ Configurer une connexion existante et sélectionnez l’application parent compatible SCIM SSO dont vous souhaitez hériter. Sélectionner cette option désigne le projet en cours comme projet enfant, héritant de toutes les propriétés pertinentes du parent concerné.

Configuring the Identity Provider settings for SSO in Okta Admin Dashboard.

NOTE

Une fois la configuration SSO créée, les paramètres de provisionnement SCIM seront hérités de l’application mère et ne pourront pas être modifiés dans l’application fille.

SCIM provisioning settings with a warning about inherited configurations from the parent project.

Configuration SSO héritée par le parent

L’application mère affichera une liste de tous les projets ayant hérité de sa configuration. Toute modification apportée à l’application mère sera automatiquement reflétée dans l’application enfant.

SCIM provisioning settings in Okta with project details and configuration instructions displayed.
  • Si SCIM est activé dans le projet parent après que les projets enfants l’ont déjà hérité, les utilisateurs et groupes seront automatiquement provisionnés sur tous les projets enfants en arrière-plan.
  • Activer l’héritage facilite la gestion de plusieurs configurations SSO avec SCIM activé, car tous les paramètres sont contrôlés depuis une application parente. Cela permet de gagner du temps et réduit l’effort nécessaire pour gérer chaque configuration individuellement.

Meilleures pratiques

  • Toujours au isTeamAccount niveau utilisateur, pas au niveau du groupe. Les utilisateurs appartenant à plusieurs groupes avec des valeurs conflictuelles peuvent recevoir des rôles incorrects dans Document360. Le définir au niveau utilisateur garantit que chaque utilisateur dispose d’une valeur claire et cohérente.
  • Ne testez pas le connecteur SCIM avant que la configuration Document360 ne soit sauvegardée. Le test échouera à ce stade. Complétez toujours et enregistrez d’abord la configuration SSO de Document360, puis retournez sur Okta pour tester.
  • Stockez vos jetons secrets principaux et secondaires en toute sécurité. Les jetons ne sont affichés qu’une seule fois au moment de la création. Conservez-les dans un gestionnaire de secrets ou un coffre-fort de mots de passe. Si un jeton est compromis, régénérez-le immédiatement et mettez à jour votre configuration Okta sans délai.
  • Utilisez le jeton secondaire pour une rotation sécurisée. Si le jeton primaire doit être remplacé, basculez d’abord Okta vers le jeton secondaire, puis régénérez le jeton principal. Cela garantit que le provisionnement utilisateur se poursuit sans interruption pendant la transition.
  • Résoudre les conflits de rôle avant de lancer la synchronisation SCIM pour les utilisateurs existants. Si un utilisateur existe déjà dans Document360 avec un rôle différent, mettez à jour manuellement son rôle dans Document360 avant de réessayer la synchronisation.
  • Gérez les groupes SCIM depuis Okta, pas depuis Document360. Document360 crée toujours un nouveau groupe quand Okta en fait passer un via SCIM. Gérez toujours l’appartenance au groupe SCIM depuis Okta pour éviter les conflits.
  • Surveillez votre quota d’utilisateurs avant de provisionner à grande échelle. Si la limite d’utilisateurs est atteinte, SCIM ne peut pas provisionner des utilisateurs supplémentaires. Convertir les utilisateurs en Évaluateurs dans Document360 si nécessaire pour libérer des emplacements Utilisateur.

FAQ

Comment fonctionne l’attribut isTeamAccount dans le provisionnement SCIM ?

L’attribut isTeamAccount détermine le rôle attribué à un utilisateur lorsqu’il est provisionné dans Document360. Lorsqu’il isTeamAccount est réglé sur True, l’utilisateur est provisionné en tant qu’Utilisateur. Lorsqu’il isTeamAccount est réglé sur Faux ou laissé non, l’utilisateur est provisionné en tant que lecteur.